一条短信验证"我是人类"？全球诈骗已骗四年

你刚点开一个链接，页面跳出熟悉的验证码框——点击"我不是机器人"，然后系统让你发条短信到某个号码"完成验证"。这条短信可能正在掏空你的话费。

网络安全公司Infoblox的最新报告揭露了一种从2020年6月就存在的诈骗手法。它不靠钓鱼链接，不靠恶意软件下载，而是利用一个你每天都在用的东西：手机短信。

四年未止的"验证"骗局

Infoblox研究人员David Brunsdon和Darby Wise追踪发现，这场针对验证码（CAPTCHA）的诈骗至少从2020年6月就开始活跃。他们锁定了17个国家的35个电话号码，全部用于接收受害者"自愿"发送的短信。

诈骗的精妙之处在于延迟伤害。国际短信费用不会即时提醒，受害者往往在几周后收到账单时才察觉异常。此时，那次"验证我是人类"的网页互动早已被遗忘，多数人只会归咎于运营商计费错误，而非追溯到一个早已关闭的钓鱼页面。

研究人员指出，这种低感知、低追溯的特性，正是该诈骗长期未被广泛报道的核心原因。

多步骤陷阱：一条变五十条

这不是简单的"发一条短信"骗局。Infoblox拆解了假验证码的完整流程：页面显示多步骤验证，每一步都预设了十几个国际号码。受害者以为自己在完成一次人机验证，实际上系统正在后台触发向50多个国际目的地的短信发送。

「假验证码有多个步骤，每条由网站生成的消息都预设了十几个电话号码，这意味着受害者不是被收取单条短信费用——而是被收取向50多个国际目的地发送短信的费用。」Brunsdon和Wise在报告中写道。

费用流向何处？攻击者通过与电信运营商的收入分成协议获利。你的每一条"验证短信"，都在为诈骗者的账户充值。

流量劫持：如何被精准投放

诈骗页面的触达依赖恶意流量分发系统（TDS）。商业TDS服务原本用于合法的流量筛选和广告投放，却被攻击者 weaponized（武器化）——它们根据用户设备、地理位置、浏览器类型进行实时判断，只把"高价值目标"导向假验证码页面。

这意味着，如果你在某一刻看到了这个骗局，说明系统已经判定你值得被投放。TDS的筛选机制确保了诈骗资源的精准消耗，也解释了为什么同一链接在不同设备上可能呈现完全不同的内容。

防御的唯一法则

Infoblox在报告标题中直接给出结论：「Unfortunately, it needs to be said: Do not send a text to confirm you are human」（很遗憾，但必须明说：不要发短信来证明你是人类）。

真正的验证码从不要求用户主动发送短信。Google reCAPTCHA、Cloudflare Turnstile等主流方案均基于行为分析、图像识别或无声令牌验证，无需任何出站通信。任何要求你发送短信"完成验证"的页面，都是诈骗。

对于已经遭遇的用户， researchers 建议立即联系运营商核查国际短信费用，并向相关机构举报涉事号码。但最有效的止损，发生在点击"发送"之前。

为什么这件事值得警惕

这场骗局的危险性不在于技术复杂度，而在于它对用户心智的精准利用。"验证码=安全"的认知惯性被反向劫持——攻击者复制了熟悉的界面语言，却把验证动作替换为付费行为。

四年运营、35个号码、17个国家、50+短信目的地——这些数字勾勒出一个被低估的威胁模型：当基础设施（TDS、电信分成）成熟到可以流水线化运营时，最简单的交互设计也能成为高效的获利工具。

对科技从业者而言，这是产品安全设计的警示案例。验证码机制的信任基础正在被系统性消耗，而用户教育始终是最后一道、也是最脆弱的一道防线。